Axitea » Approfondimenti » Ransomware, come difendersi: prevenzione e reazione

Approfondimenti

Ransomware, come difendersi: prevenzione e reazione

17 Maggio 2021

 

Vuoi rimanere aggiornato con le ultime notizie? Iscriviti alla nostra newsletter

Autore

Maurizio Tondi

Ransomware, come difendersi

Se parliamo di ransomware non parliamo di una novità, ma di una certezza. Secondo l’ultimo rapporto Sophos infatti, nell’indagine sulla cybersecurity condotta su scala mondiale, il 41% delle aziende italiane ha comunicato di aver subìto nell’ultimo anno almeno un attacco ransomware e quasi un’azienda su due ha timore che possa accadere in futuro. E’ quindi necessario fare un po’ di awareness sul tema: ransomware, come difendersi?

Proteggersi dal ransomware: prevenzione e reazione

A fronte del numero di attacchi informatici subiti, risulta assolutamente necessaria un’attività di difesa preventiva (grazie a una combinazione di tecnologie, competenze specialistiche e la maggiore consapevolezza da parte degli utenti), ma anche una rapida, efficace e professionale “reazione” all’attacco.

Dal punto di vista della prevenzione, unica linea di difesa, è evidente che oggi si possa fare di più. È possibile “contrastare” l’attaccante (hacker) utilizzando tecnologie di threat intelligence evoluta e proattiva e logiche di “deception” per costringerlo in aree di osservazione e controllo – attraverso esche sofisticate – per studiarne i movimenti.

Se per l’azienda non risultasse possibile adottare comportamenti preventivi e delle adeguate contromisure (a causa di budget sempre più sfidanti, risorse limitate e priorità aziendali a volte contrastanti) e fosse colpita da un attacco informatico, diventerebbe però fondamentale sapere come reagire.

Come difendersi da un ransomware: la fase post attacco informatico

Come difendersi da un ransowmare quando ci si trova invece nella fase emergenziale di post attacco informatico, quando gli utenti non riescono a lavorare, non funzionano gli applicativi, la mail, e non è possibile accedere all’ERP e tutto il peso della crisi si ribalta sull’IT manager ed il tempo passa inesorabilmente?
È necessario agire tempestivamente e rivolgersi immediatamente a un team di esperti di assistenza post attacco informatico che attraverso metodologie di settore, tecnologie innovative possono immediatamente prendere in carico la situazione di crisi.

I primi passaggi necessari sono: ricostruire la kill chain e la “caccia” al malware per identificare i vettori di attacco e i movimenti degli attaccanti, le connessioni potenzialmente pericolose, la natura del malware che ha colpito la vittima ed eradicare rapidamente qualsiasi forma persistente del malware che ha colpito l’Azienda, mantenendo un monitoraggio H24 per tutto il periodo necessario alla ripartenza in totale sicurezza.

Il settore maggiormente colpito dai ransomware

Il settore manifatturiero è uno di quelli maggiormente colpiti da attacchi ransomware. Tra gli obiettivi principali degli attaccanti vi sono: richiesta di riscatto, sottrazione e diffusione di informazioni e dati sensibili o privati, inevitabile interruzione delle attività produttive e distributive e danni reputazionali.

Oggi, ad esempio, la dipendenza dalle catene di approvvigionamento just-in-time e la tecnologia a volte obsoleta o paradossalmente la modernizzazione degli impianti verso logiche di convergenza OT-IT (ma con limitate attenzioni in fase progettuale alla protezione cyber), rendono la spedizione e la logistica un obiettivo sempre più allettante per i criminali informatici.

La natura del settore, infatti, e il potenziale impatto relativo all’interruzione delle attività – che può influire su tutta la catena di approvvigionamento – potrebbe comportare nella fase di massimo stress post attacco, il pagamento della richiesta di riscatto, percependo tale azione come la sola efficace per ripristinare la rete e i sistemi (nonostante le indicazioni comportamentali da parte degli esperti di sicurezza informatica e delle stesse Forze dell’Ordine).
È una prassi eticamente scorretta e inoltre è anche economicamente non conveniente. Ad esempio secondo il più recente report di Kaspersky, per il quale il 39% delle vittime di ransomware paga il riscatto, solo l’11% recupera tutti i dati. Inoltre, in una percentuale molto elevata, le aziende che hanno pagato una prima volta, sono successivamente oggetto di ulteriori richieste di riscossione.

In conclusione

Niente riscatto, ma una strutturata azione di pronto intervento nell’emergenza e poi un accompagnamento dell’Azienda verso soluzioni e servizi per il mantenimento continuativo di adeguati livelli di protezione e sicurezza, attraverso servizi personalizzati e dimensionati sulle esigenze del Cliente o sul supporto della soluzione SOC as a Service di Axitea per un monitoraggio H24.

Iscriviti alla nostra newsletter per rimanere sempre aggiornato su Axitea e sul mondo della sicurezza!

Torna su